Help us improve your experience.

Let us know what you think.

Do you have time for a two-minute survey?

 
 

アプリケーション シグネチャの追加

ジュニパーネットワークスの事前定義済みアプリケーション データベースに含まれていないアプリケーション用のカスタム アプリケーション シグネチャを追加できます。カスタム アプリケーション 署名を追加するときは、アプリケーション署名が一意で関連性の高い名前を指定して一意であることを確認します。

アプリケーションが実行される名前、プロトコル、ポート番号、および一致条件を指定することで、カスタム アプリケーション シグネチャを追加できます。

カスタム アプリケーション シグネチャを作成するには、次の手順に進めます。

  1. [ 共有オブジェクト>アプリケーション 署名>構成を選択します
  2. [ >署名の作成] をクリックします。
  3. 表 1 に示すガイドラインに従って設定を完了します。
  4. [ OK] を クリックして変更を保存します。変更を破棄する場合は、代わりに [キャンセル ] をクリックします。

設定を含む新しいアプリケーション シグネチャが作成されます。このアプリケーションシグネチャは、SD-WANポリシーとファイアウォールポリシーインテントを作成する際に使用します。

表 1 は、「 アプリケーション署名の作成 」ページのフィールドの使用に関するガイドラインを示しています。

表 1: アプリケーション署名の作成ページのフィールド

フィールド

説明

名前

英数字、コロン、ピリオド、ダッシュ、およびアンダースコアの文字列である一意の名前を入力します。スペースは使用できません。最大長は 63 文字です。

説明

アプリケーション署名の説明を入力します。
署名の順序と優先度  

順序

カスタム アプリケーション 署名の順序を入力します。下位の値の方が優先度が高くなります。このオプションは、同じタイプの複数のカスタム アプリケーション シグネチャが同じトラフィックに一致する場合に使用されます。ただし、このオプションを使用して、TCP ストリームベースアプリケーションなどのさまざまなタイプのアプリケーション間で、TCPポートベースのアプリケーションやポートベースアプリケーションに対するIPアドレスベースのアプリケーションに対する優先度を設定することはできません。

範囲は 1~50000 です。

優先 順位

他のアプリケーション 署名よりもアプリケーション署名の優先度(高または低)を指定します。
シグネチャの分類  

カテゴリ

アプリケーション署名のカテゴリを入力します。たとえば、メッセージング、Web、インフラストラクチャ、リモートアクセス、マルチメディアなどです。

サブカテゴリー

アプリケーション署名のサブカテゴリを入力します。たとえばWiki、ファイル共有、マルチメディア、ソーシャルネットワーキング、ニュースなどです。

リスク

アプリケーションシグネチャに関連付けられたリスクレベルを選択します。たとえば、低、中等度、高、重大、安全でないなどです。

特性

アプリケーション 署名の 1 つ以上の特性を入力します。たとえば、ファイル転送、生産性の損失などをサポートします。
応募基準

1 つ以上のアプリケーション一致条件を有効にします。

  • ICMP マッピング

  • IP プロトコル マッピング

  • アドレス マッピング

  • L7 シグネチャ

ICMP マッピング

切り替えボタンをクリックすると、アプリケーション識別用にカスタム アプリケーション シグネチャを設定しながら、アプリケーションの ICMP(Internet Control Message Protocol)値を指定できます。

ICMP マッピング技術は、標準の ICMP メッセージ タイプとオプション コードを一意のアプリケーション名にマッピングします。ICMP コードとタイプは、アプリケーション定義でのパケット 照合用に追加仕様を提供します。

ICMP タイプ

アプリケーションの ICMP 値を入力します。ICMP マッピング技術は、標準の ICMP メッセージ タイプとオプション コードを一意のアプリケーション名にマッピングします。

範囲は0~254です。

ICMP コード

アプリケーションの ICMP コードを入力します。このフィールドは、ICMP タイプ フィールドに関する追加情報(RFC など)を提供します。

範囲は0~254です。

IP プロトコル マッピング

切り替えボタンをクリックして、アプリケーションの IP プロトコル値を指定します。このパラメーターは、IP プロトコル値に基づいてアプリケーションを識別するために使用され、IP トラフィックのみを対象としています。適切なセキュリティを確保するには、信頼できるサーバーのプライベート ネットワークでのみ IP プロトコル マッピングを使用します。

IP プロトコル

アプリケーションの IP プロトコル番号を入力します。標準 IP プロトコル番号は、アプリケーションを IP トラフィックにマッピングします。適切なセキュリティを確保するには、信頼できるサーバーのプライベート ネットワークでのみ IP プロトコル マッピングを使用します。

範囲は0~254です。

業界標準のプロトコル番号の完全なリストは 、IANAのウェブサイトで確認できます。

メモ:

IP プロトコル番号 1(ICMP)、6(TCP)、17(UDP)をカスタム アプリケーション 署名の作成に使用することはできません。代わりに、これらのプロトコルにL7署名ポリシーを使用することをお勧めします。

アドレス マッピング

[切り替え] ボタンをクリックして、アドレス マッピング情報を指定します。レイヤー 3 およびレイヤー 4 アドレス マッピングは、トラフィックの宛先 IP アドレスまたはポート範囲(オプション)を照会してアプリケーションを定義します。プライベート ネットワークの設定が信頼できるサーバー間のアプリケーション トラフィックを予測する場合は、アドレス マッピング オプションを使用してカスタム アプリケーション シグネチャを設定します。

アドレス マッピングは、既知のアプリケーションからのトラフィックを処理しながら、効率性と精度を提供します。詳細については、 表 2 を参照してください。

メモ:

  • アドレス マッピングには、IP アドレスまたは TCP/UDP ポート範囲のいずれかを指定する必要があります。

  • IP アドレスと TCP/UDP ポートの両方が設定されている場合、両方ともパケットの宛先タプル(IP アドレスとポート範囲)を一致させる必要があります。

L7 シグネチャ

切り替えボタンをクリックして、同じ L7 プロトコルで実行されている複数のアプリケーションを識別するために必要なレイヤー 7 ベースのカスタム アプリケーション シグネチャを指定します。L7 アプリケーションに基づいてカスタム シグネチャを設定します。同じ L7 プロトコル上で実行されている複数のアプリケーションを識別するために、レイヤー 7 ベースのカスタム アプリケーション シグネチャを作成します。たとえば、FacebookやYahoo MessengerなどのアプリケーションはどちらもHTTP経由で実行できますが、同じレイヤー7プロトコル上で実行されている2つの異なるアプリケーションとして識別する必要があります。詳細については、 表 3 を参照してください。

キャッシュ

切り替えボタンをクリックして、デバイスでアプリケーション識別結果のキャッシングを有効にします。

カスタム 署名で L7 署名が単独で構成されている場合にのみ、このオプションを True に 設定します。このオプションは、アドレスベース、IP プロトコルベース、ICMP ベースのカスタム アプリケーション シグネチャではサポートされていません。
表 2: [IP アドレス マッピングの追加] ページのフィールド

フィールド

説明

名前

英数字、コロン、ピリオド、ダッシュ、アンダースコアの一意の文字列を入力します。スペースは使用できません。最大長は 63 文字です。

IP アドレス

アプリケーションの宛先 IPv4 または IPv6 アドレスを入力します。

CIDR

アプリケーションに割り当てる IP アドレスの CIDR 値を入力します。

IPv4 アドレスの範囲は 1~32 です。

IPv6 アドレスの範囲は 1~128 です。

TCP ポート範囲

(オプション)レイヤー 3 およびレイヤー 4 アドレスベースのカスタム アプリケーションの TCP 宛先ポートと一致するポートまたはポート範囲のスペース区切りのリストを入力します。

範囲は0~65535です。

例:80~82 443。

UDP ポート範囲

(オプション)レイヤー 3 およびレイヤー 4 アドレスベースのカスタム アプリケーションの UDP 宛先ポートと一致するポートまたはポート範囲のスペース区切りリストを入力します。範囲は0~65535です。

例:160-162 260。
表 3: 署名の追加ページのフィールド

フィールド

説明

Over Protocol

アプリケーション プロトコルに一致する署名を表示します。

例:HTTP。

署名名

英数字、コロン、ピリオド、ダッシュ、およびアンダースコアの文字列である一意の名前を入力します。スペースは使用できません。最大長は 63 文字です。

ポート範囲

アプリケーションのポート範囲を入力します。

範囲は 0~65535

例:80~82,443
メンバーの追加

プラスアイコン(+)をクリックして、メンバーの詳細を追加します。

メンバー No.

カスタム アプリケーション 署名のメンバー名を入力します。カスタム シグネチャには、アプリケーションの属性を定義する複数のメンバーを含めることができます。(サポートされるメンバー名の範囲は m01~m15 です。

コンテキスト

サービス固有のコンテキストを選択します。

  • [HTTP 経由の L7 Signatures] で、次のいずれかのコンテキストを選択します。

    • http-get-url-parsed-param-parsed

    • http-header-content-type

    • http-header-cookie

    • http-header-host

    • http-header-user-agent

    • http-post-url-parsed-param-parsed

    • http-post-variable-parsed

    • http-url 解析

    • http-url-parsed-param-parsed

  • [SSL 上の L7 Signatures] で、サービス固有のコンテキストを ssl-server-name として選択します。

  • TCP 上の L7 Signatures では、サービス固有のコンテキストをストリームとして選択 します

  • UDP 上の L7 Signatures では、サービス固有のコンテキストをストリームとして選択 します

L7 アプリケーションの作成に使用できるコンテキストと方向の組み合わせについては、 コンテキスト(アプリケーション識別)を参照してください。

方向

署名を照合する必要があるパケット フローの方向を選択します。

  • any —パケット フローの方向は、クライアント側からサーバー側、またはサーバー側からクライアント側のいずれかにできます。

  • クライアントからサーバーへの—パケット フローの方向はクライアント側からサーバー側へです。

  • サーバーからクライアントへ—パケット フローの方向はサーバー側からクライアント側へです。

パターン

コンテキストで一致する確定的な DFA(有限自動化)パターンを入力します。DFA パターンは、署名に一致するパターンを指定します。最大長は 128 です。

関連ドキュメント